[发明专利]一种电子签名方法及电子签名终端

说明书

技术领域

本发明涉及电子加密技术，具体涉及一种能够实现快速电子签名的电子签名方法和电子签名终端。

背景技术

对于电子商务、电子政务、网络交易等基于I nternet的企业应用来说，终端高速签名使用的需求和范围日益增大，所以在终端上保证应用数据的安全性和快速高效签名至关重要。现有的智能密码钥匙存在签名速度慢，并发性支持不好及扩容费用高的问题。高速签名的终端方案则是针对此类问题而开发的产品，为保障应用数据在计算机和终端的使用安全都提供了极大的便利和可靠性，也满足了企业应用签名高速的强需求。

发明内容

针对现有技术中所存在的问题，本发明的目的在于基于网络的多进程多并发特点，提供一种能够实现快速签名的电子签名方法和电子签名终端，解决传统智能密码钥匙效率低的问题。

为达到上述发明目的，本发明的技术方案如下：

一种电子签名方法，包括：

(1)主安全芯片获取经过服务主机解析的签名业务数据；

(2)在至少两个运算安全芯片中查询是否存在空闲状态的运算安全芯片，若存在，则将签名业务数据发送给空闲状态的运算安全芯片进行电子签名；

若不存在，则在确定存在运算安全芯片处于空闲状态后，将签名业务数据发送给相应的空闲状态运算安全芯片进行电子签名；

(3)所述主安全芯片接收经过运算安全芯片电子签名后的签名数据并将该签名数据传送给服务主机。

进一步地，上述电子签名方法，步骤(2)中确定存在运算安全芯片处于空闲状态的方法为：主运算安全芯片接收到来自运算安全芯片电子签名后的签名数据即确定存在相应的运算安全芯片处于空闲状态。

进一步地，上述电子签名方法，所述服务主机通过网络接口接收由上层业务应用通过PKI接口调用API接口发送的签名业务数据并进行解析；所述服务主机将来自主安全芯片的签名数据传送给上层业务应用。

相应地，本发明还提供了一种电子签名终端，包括密码服务单元和服务主机；

所述密码服务单元包括：

主安全芯片，用于查询运算安全芯片的空闲状态，获取签名业务数据并将该签名业务数据传递给空闲的运算安全芯片，接收来自运算安全芯片的签名数据并将该签名数据传送；

运算安全芯片，至少有两个，用于接收来自主安全芯片的签名业务数据，根据该签名业务数据进行电子签名，并将电子签名后的签名数据传递给主安全芯片；

证书灌装安全芯片，用于将证书信息传递给主安全芯片；

所述服务主机，与所述主安全芯片通讯连接，用于获取签名业务数据，对其进行解析并将解析后的签名业务数据传递给所述主安全芯片；也用于获取来自主安全芯片的签名数据并传送该签名数据。

进一步地，上述电子签名终端，所述服务主机通过网络接口获取来自上层业务应用的签名业务数据。

进一步地，上述电子签名终端，所述上层业务应用的签名数据通过PKI接口所调用的API接口发送给所述网络接口。

进一步地，上述电子签名终端，所述服务主机和所述主安全芯片通过USB接口实现通讯连接。

进一步地，上述电子签名终端，所述密码服务单元设置有外部接口，所述外部接口包括与所述证书灌装安全芯片连接的USB接口和输入设备接口；

该与所述证书灌装安全芯片连接的USB接口用于生产、证书预制和证书更新。

进一步地，上述电子签名终端，所述密码服务单元还与显示单元通讯连接；所述服务主机还与COM接口连接；

所述COM接口，用于配置IP、查询MAC和加入设备的可信IP。

进一步地，上述电子签名终端，所述运算安全芯片使用的非对称密对相同。

本发明具有以下有益效果：

1、基于网络的多进程多并发特点，采用多个运算安全芯片同时进行电子签名，解决了传统智能密码钥匙效率低的缺点；

2、终端的各个端口权限分离，便于安全管理；

3、支持PKI体系，可以快速部署与企业签名应用；

4、通过网络接口接收数据，避免重置引起的数据丢失造成的访问不稳定。

附图说明

图1为本发明具体实施例的电子签名方法的流程图。

图2为本发明具体实施例的电子签名终端的结构框图。

图3为本发明具体实施例的密码服务单元的结构框图。

具体实施方式

下面结合附图和实施例对本发明进行详细的描述。

如图1所示，本发明针对网络的多进程多并发特点，提供了一种电子签名方法，包括：